CVE-2020-18878

**Nome do software vulnerável e versões afetadas:

Skycaiji versão 1.3

Descrição:

A vulnerabilidade permite que invasores remotos obtenham informações confidenciais. Isso ocorre por meio de um ataque de traversal de diretório. O componente “index.php” está vulnerável, especificamente quando os parâmetros ‘m=admin&c=Tool&a=log&file=’ são utilizados, permitindo o acesso a arquivos fora do diretório pretendido. Por exemplo, o endpoint da API “/index.php?m=admin&c=Tool&a=log&file=D%3A%5CphpStudy%5CWWW%5Cindex.php” pode ser explorado.

Recomendações:

Para a versão 1.3 do Skycaiji, como solução temporária, considere restringir o acesso ao componente “index.php”, especificamente aos parâmetros ‘m=admin&c=Tool&a=log&file=’, até que um patch esteja disponível. Evite usar o parâmetro file no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.